Новости Software

В Apple Pay нашли уязвимость, которая позволяет украсть любую сумму с привязанной карты Visa

Исследователи из британских университетов Бирмингема и Суррея обнаружили уязвимость в бесконтактной системе платежей Apple Pay, позволяющую снять любую сумму денег с привязанной к ней банковской карты без необходимости разблокировать iPhone. Эксперимент подтвердил, что метод работает только с банковскими картами Visa.

 Источник изображения: Getty Images

Источник изображения: Getty Images

Особенность системы Apple Pay заключается в том, что она подтверждает транзакцию только при определённых условиях. Чтобы платёж прошёл, владелец смартфона должен пройти аутентификацию и разблокировать iPhone одним из трёх способов: с помощью Face ID, Touch ID или пароля.

Однако исследователи обнаружили, что защиту Apple Pay можно обойти с помощью встроенной функции Express Transit, которая позволяет провести перевод средств с привязанной карты Visa без необходимости разблокировать устройство. Функция Express Transit была введена в систему Apple Pay в 2019 году из-за неудобной необходимости каждый раз разблокировать телефон для оплаты за проезд в том же общественном транспорте.

«В комбинации с картой Visa эту функцию можно использовать для обхода защиты заблокированного iPhone. Другими словами, злоумышленник может перевести любую сумму со счёта жертвы без необходимости разблокировать смартфон», — объясняют исследователи.

Для подтверждения своих слов специалисты опубликовали видео, на котором демонстрируется, как они получили платёж в размере 1000 фунтов стерлингов с заблокированного iPhone, не зная от него пароль.

Для этого они использовали мобильное устройство Proxmark, исполнявшего роль считывателя карт, который взаимодействовал с iPhone воображаемой жертвы и Android-устройством, исполнявшим роль терминала оплаты. Согласно опубликованной инфографике, метод специалистов работает по принципу «Человек посередине» (Man-in-the-Middle).

Эксперты отмечают, что на сегодняшний день эта уязвимость всё ещё актуальна, поэтому пользователям Apple Pay с картами Visa определённо стоит учитывать эту особенность.

«Наши обсуждения с Apple и Visa показали, что, когда обе стороны в отрасли частично виноваты в произошедшем, ни одна из них не желает брать на себя ответственность и внедрять изменения, оставляя пользователей уязвимыми на неопределённый срок», — прокомментировала специалист Андреа Раду (Andreea Radu) из университета Бирмингема.

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Видео: полноценный гоночный заезд и основы геймплея в новой демонстрации Bloodborne Kart 26 мин.
Fall Guys станет условно-бесплатной и выйдет на Xbox со Switch к концу июня 60 мин.
Слухи: Konami выпустит интерактивный тизер новой полноценной Silent Hill и цикл коротких историй из мира серии 2 ч.
Видео: трейлер вампирского экшена V Rising по случаю завтрашнего выхода в раннем доступе 3 ч.
Эмитент рухнувшего стейбкоина TerraUSD потратил $3 млрд на его поддержку, но это не помогло 3 ч.
Аниме-сериал Cyberpunk: Edgerunners станет частью фестиваля Netflix в следующем месяце 3 ч.
Кинематографический трейлер файтинга MultiVersus подтвердил ещё двух бойцов и сроки открытой «беты» 4 ч.
Эксклюзивы PS4 и PS5, мировые хиты и классика: Sony рассказала, что войдёт в библиотеку обновлённой PS Plus 4 ч.
Многие из 100 тыс. популярных сайтов собирают данные из ещё не отправленных пользователями веб-форм 4 ч.
Время загрузки Forspoken на консоли PlayStation 5 составит всего одну секунду 7 ч.